Intel próbował przekupić naukowców "nagrodą", by nie ujawniali luki w CPU

Intel próbował przekupić naukowców "nagrodą", by nie ujawniali luki w CPU

W przypadku procesorów Intela i ich podatności na różnego rodzaju ataki, można już niewątpliwie mówić o czarnej serii, ponieważ regularnie otrzymujemy nowe informacje o kolejnych lukach odkrywanych w CPU tego producenta. Zaczęło się na początku ubiegłego roku od Spectre i Metldown, następnie były m.in. choćby Foreshadow, Spoiler, a ostatnie trzy kolejne zagrożenia, czyli Fallout, RIDL i ZombieLoad. Jedna z tych luk, RIDL (Rogue In-Flight Data Load), odkryta została przez specjalistów ds. cyberbezpieczeństwa z Wolnego Uniwersytet w Amsterdamie (znanego też jako VU Amsterdam), którzy twierdzą, że Intel w gruncie rzeczy próbował przekupić ich, by nie chwalili się swoim odkryciem z opinią publiczną i innymi podmiotami.

Badawcze z Wolnego Uniwersytet w Amsterdamie twierdzą, że Intel w gruncie rzeczy próbował przekupić ich, by nie chwalili się swoim odkryciem z opinią publiczną i innymi podmiotami.

W tym celu, jak donosi holenderski portal Nieuwe Rotterdamsche Courant, Intel zaoferował naukowcom „nagrodę” za odkrytą lukę w wysokości 40 000 USD, próbując w ten sposób bagatelizować powagę zagrożenia jakie niesie RIDL. Następnie gigant z Santa Clara wyszedł z propozycją dodatkowej gratyfikacji finansowej w postaci 80 000 USD. Warto tu podkreślić, że chociaż część luk została znaleziona przez naukowców z różnych uniwersytetów i firm, VU odpowiedzialne było za większość. Uniwersytet w Amsterdamie jest także jedyną stroną, której przyznano oficjalną nagrodę Intela dla odkrywców krytycznych zagrożeń. VU Amsterdam grzecznie jednak odmówił przyjęcia pieniędzy.

Fallout, RIDL i ZombieLoad - odkryto kolejne groźne luki w CPU Intela

Trzeba bowiem wyjaśnić, że w regulaminie programu bug bounty Intela znajdują się zapisy, które mają na celu niwelowanie strat po stronie producenta procesorów, w związku z odkrytymi lukami i błędami. Jeśli więc dany podmiot zaakceptuje te warunki i podpisze NDA, to nie może ujawniać swoich odkryć  i komunikować się w ich temacie z innymi osobami i podmiotami (prócz wyznaczonych pracowników Intela). Wstrzymanie upubliczniania tych wiadomości, dać ma firmie czas na opracowanie stosownych poprawek, zanim luki zostaną wykorzystanie przez cyberprzestępców (taka jest przynajmniej oficjalna wersja Niebieskich). Argumenty te nie przekonywały specjalistów z VU Amsterdam. Z ich perspektywy oznaczało to brak konsultacji między badaczami i niepewność co do tego, którzy producenci oprogramowania zostali uprzedzeni z wyprzedzeniem. Zdaniem naukowców firmy technologiczne nie kierują się interesem użytkownika, ale akcjonariuszy, a Intel początkowo nie powiadomił Google i Mozilli, dwóch głównych producentów przeglądarek. VU próbowało zmusić producenta do szybszego ujawnienia nowych luk i ostatecznie ten nie miał innego wyboru, jak zrobić to jeszcze w maju - w przeciwnym razie uniwersytet sam opublikowałby szczegóły. „Gdyby zależało to od Intela, ten czekałby kolejne sześć miesięcy” - mówi przedstawiciel VU.

Pokaż / Dodaj komentarze do: Intel próbował przekupić naukowców "nagrodą", by nie ujawniali luki w CPU

 0